Le groupe Play ransomware a développé deux outils personnalisés en .NET, à savoir Grixba et VSS Copying Tool, qu’il utilise pour améliorer l’efficacité de ses cyberattaques.
Les deux outils permettent aux attaquants d’énumérer les utilisateurs et les ordinateurs des réseaux compromis, de recueillir des informations sur les logiciels de sécurité, de sauvegarde et d’administration à distance, et de copier facilement des fichiers depuis Volume Shadow Copy Service (VSS) pour contourner les fichiers verrouillés.
Les chercheurs en sécurité de Symantec ont découvert et analysé les nouveaux outils et ont partagé leurs découvertes avec Breachtrace avant de publier leur rapport.
Nouveaux outils personnalisés
Grixba est un outil d’analyse de réseau et de vol d’informations utilisé pour énumérer les utilisateurs et les ordinateurs d’un domaine. Il prend également en charge un mode « scan » qui utilise WMI, WinRM, Remote Registry et Remote Services pour déterminer quels logiciels s’exécutent sur les périphériques réseau.
Lors de l’exécution de la fonction d’analyse, Grixba vérifiera les programmes antivirus et de sécurité, les suites EDR, les outils de sauvegarde et les outils d’administration à distance. En outre, le scanner vérifie les applications bureautiques courantes et DirectX, éventuellement pour déterminer le type d’ordinateur analysé.
L’outil enregistre toutes les données collectées dans des fichiers CSV, les compresse dans une archive ZIP, puis les exfiltre vers le serveur C2 des attaquants, leur donnant des informations vitales sur la façon de planifier les prochaines étapes de l’attaque.
Le deuxième outil personnalisé repéré par Symantec dans les attaques de rançongiciels Play est l’outil de copie VSS, qui permet aux attaquants d’interagir avec le service de cliché instantané des volumes (VSS) via des appels d’API à l’aide d’une bibliothèque AlphaVSS .NET intégrée.
Le service de cliché instantané des volumes est une fonctionnalité Windows qui permet aux utilisateurs de créer des instantanés système et des copies de sauvegarde de leurs données à des moments précis et de les restaurer en cas de perte de données ou de corruption du système.
L’outil de copie VSS permet au rançongiciel Play de voler des fichiers à partir de clichés instantanés de volume existants, même lorsque ces fichiers sont utilisés par des applications.
Les deux outils analysés par Symantec ont été écrits à l’aide de l’outil de développement Costura .NET, qui peut créer des exécutables autonomes qui ne nécessitent aucune dépendance, ce qui facilite le déploiement sur des systèmes compromis.
L’utilisation d’outils personnalisés par Play ransomware indique que l’acteur notoire de la menace vise à accroître l’efficacité de ses attaques et à effectuer ses tâches malveillantes plus efficacement.
Depuis le début de l’année, le rançongiciel Play a fait plusieurs victimes très médiatisées, dont la ville d’Oakland en Californie, A10 Networks, Arnold Clark et Rackspace.